E’ di pochi giorni fa la notizia dell’incredibile perdita di 18 milioni di Euro da parte della multinazionale Maire Tecnimont per una truffa ordita mediante una tipica strategia di social engineering.
In alcuni miei precedenti articoli ho già illustrato le ragioni per le quali il social engineering è, nell’ambito delle tematiche di sicurezza informatica, una delle pratiche più insidiose da contrastare dato che coinvolge sia aspetti tecnologici sia il comportamento individuale delle persone
Quando spiego, nel corso degli incontri di formazione presso le aziende, quali siano le casistiche più comuni di social engineering, le persone mi ascoltano con lo sguardo tipico di chi pensa “ma chi vuoi che ci caschi“.
Eppure, le pratiche di social engineering esistono, prosperano e non vanno sottovalutate, come ha – purtroppo – sperimentato sulla propria pelle il management del Gruppo multinazionale Tecnimont.
Qualcuno, sostituendosi ai vertici aziendali e utilizzando mail molto simili a quelle reali (in un caso è stato usato un indirizzo email con un carattere diverso), ha ordinato, in due distinti momenti, ai manager del gruppo Tecnimont di effettuare bonifici milionari per presunte acquisizioni segrete o restituzione di finanziamenti, per un valore di circa 18 milioni di Euro
Nella seconda truffa, in particolare, una email, apparentemente inviata il 13 novembre 2018 dall’Amministratore Delegato di Tecnimont, aveva ordinato al capo della controllata indiana del gruppo di effettuare tre bonifici all’estero per complessivi 18,6 milioni di euro, affermando che tali fondi sarebbero stati necessari per completare un’acquisizione segreta di cui non si sarebbe dovuto parlare con nessuno, eccezion fatta per un presunto Avvocato di Ginevra.
Naturalmente, questo presunto legale, contattato sia tramite email sia per telefono, era del tutto inventato, ma il capo della controllata indiana si è convinto ad eseguire tre bonifici su conti correnti in Cina. La truffa è stata scoperta dal vero Presidente di Tecnimont solo nove giorni dopo, durante un viaggio in India, quando è stato messo a conoscenza della fantomatica acquisizione segreta!
Tecnimont è stata vittima di un tipico caso di social engineering definito “truffa del CEO”.
La truffa del CEO è un raggiro che unisce attacco cibernetico e ingegneria sociale, piuttosto insidioso per le multinazionali e che avviene in questo modo:
- un soggetto si finge una figura preminente nell’organigramma della società e chiama al telefono una figura contabile all’interno della filiale locale, chiedendo di effettuare un pagamento;
- la telefonata ha due caratteristiche chiave: l’urgenza e la confidenzialità;
- il contabile locale si lascia convincere e fa partire il denaro sul conto richiesto; la somma transita spesso dalla Cina ma finisce, poi, ovunque nel mondo e diviene impossibile da recuperare.
Per ricostruire l’organigramma societario e poter risultare credibili, i truffatori spesso cercano informazioni sulla vittima da raggirare utilizzando i social network, alla ricerca di una figura che abbia accesso alle operazioni bancarie del gruppo.
Per difendersi da questo tipo di attacco, occorre programmare un’adeguata formazione all’interno dell’azienda, affinché il personale, soprattutto quello più esposto a questa tipologia di rischio, abbia conoscenze adeguate per riconoscere di essere di fronte ad una strategia di social engineering e possa disinnescare efficacemente la minaccia, attraverso un sano atteggiamento di scetticismo.
E’, quindi, importante che il personale venga istruito, a livello generale, a
- diffidare da email o telefonate non richieste o inusuali da persone che chiedono informazioni su dipendenti o riguardo l’azienda (anche finanziarie), documentandosi previamente su chi sia l’interlocutore e verificandone l’effettiva identità;
- non diffondere informazioni strategiche in rete senza verificare il livello di sicurezza e attendibilità del sito;
- controllare sempre la URL dei siti web e gli indirizzi di posta elettronica;
- evitare, naturalmente, di aprire allegati o file eseguibili di dubbia provenienza;
- informare tempestivamente gli amministratori di rete e i responsabili IT di eventuali anomalie o casi dubbi;
- se sono state comunicate delle password, cambiarle su tutti gli account in cui viene usata la medesima combinazione.
Questa specifica attività di formazione rientra, oltretutto, a pieno titolo, anche tra le misure di sicurezza che l’art. 32 del GDPR prescrive in capo ai Titolari del trattamento (o ai loro DPO, laddove presenti).